L’esperto

Phishing anche sui siti sicuri https. Clicca sul lucchetto prima di cedere dati o fare acquisti online

di |

L'approfondimento, con i consigli pratici di Trust Italia, azienda italiana specializzata nella web security, per sapere come riconoscere un sito al sicuro dai criminali informatici prima di effettuare un pagamento, perché puoi abboccare al phishing anche su un sito sicuro in https.

Un sito in https è sicuro, ma non è detto che sia anche al sicuro dai criminali informatici. Infatti, è possibile abboccare a phishing o essere vittime di malware anche su un sito con il protocollo https (hypertext transfer protocol secure), che garantisce sì una connessione protetta, ma non certifica chi c’è “dietro”: allora come avere la garanzia di essere sul sito reale della propria banca, di una fintech, di un eCommerce, di una società privata o ente pubblico?

Come sapere se un sito web è sicuro/protetto

La prima cosa da fare, per sapere se sei sul sito reale e non su uno fraudolento, a quest’ultimo si può giungere cliccando un link contenuto in un’email o SMS phishing o perché si digita il dominio con errori di battitura, è guardare, con attenzione, l’url del sito web

Se inizia con “https” invece di “http“, significa che il sito è protetto utilizzando un certificato TLS/SSL, che mette al sicuro i tuoi dati mentre vengono trasferiti dal tuo browser al server del sito web. Quando visiti un sito web codificato, per esempio per operazioni di banca online o eCommerce, il browser controlla se il certificato del sito è valido. Se non lo è, ti avvisa. In questo modo vengono protette le informazioni di login, i numeri di carta di credito, gli indirizzi e ogni altro dato riservato.

Che cos’è il protocollo SSL

Il Secure Socket Layer (SSL) e il suo successore Transport Layer Security (TLS) sono protocolli crittografici che permettono una comunicazione sicura sulle reti TCP/IP, come i siti web, fornendo: autenticazione, crittografia e integrità dei dati. Il protocollo TLS/SSL risulta essere, dunque, un mezzo estremamente potente per la conduzione di transazioni online, autenticate e cifrate.

I certificati non sono tutti uguali

Tuttavia, i certificati TLS/SSL non sono tutti uguali: esistono diversi livelli di convalida e alcuni di essi sono più facili da superare rispetto ad altri. 

Il livello di convalida più basso, Domain Validation (DV), verifica semplicemente la proprietà del dominio e non effettua un controllo sull’identità e legittimità dell’organizzazione che richiede il certificato. In altre parole, se hai acquistato il dominio “amaz0n.com” e hai richiesto un certificato, riceverai il certificato perché sei il proprietario del dominio. I browser mostreranno anche un piccolo lucchetto nella barra degli indirizzi per mostrare che il sito è protetto con la crittografia TLS/SSL. Ma, solo il lucchetto ti dirà se il sito ha la crittografia o meno ed occorre guardare oltre il lucchetto, cliccarci, per leggere gli indicatori di fiducia più elevati che garantiscono all’utente di essere sul sito web giusto.

Cosa c’è dietro il lucchetto

Prima di cedere dati personali o fare acquisti online con carta di credito, bancomat, prepagata o altro, è necessario cliccare sul lucchetto che si visualizza all’interno o accanto alla barra degli indirizzi del browser per andare a caccia di indizi sull’identità e visibilità dell’azienda del sito. Solo così è possibile prendere atto di una serie completa di operazioni di sicurezza eseguita con successo.

Riccardo Cazzola, ceo Trust Italia: “Solo cliccando sul lucchetto si visualizzano le informazioni certificate sull’identità dell’organizzazione che gestisce il sito”

“La presenza del lucchetto nella barra degli indirizzi ci garantisce ‘semplicemente’ che il certificato sia valido, firmato da una Certification Authority verificata e che la connessione sia crittografata e sicura, ma è solo cliccando sul lucchetto che si ottengono tante informazioni relative al sito web che stiamo visitando, al tipo di crittografia in uso nella connessione https, ma soprattutto acquisiamo informazioni certificate sull’identità dell’organizzazione che gestisce il sito”, ci spiega Riccardo Cazzola, ceo Trust Italiaazienda italiana specializzata dal 2000 nella web security. 

“Infatti”, continua Cazzola, “le aziende e le organizzazioni che vogliono esporre la propria identità scelgono certificati di tipo OV (Organizational Validated) o, meglio ancora, di tipo EV (Extended Validation) che, in forza di una più approfondita procedura di verifica da parte della Certification Authority, espongono con più dettaglio e maggiore risalto i dati identificativi del proprietario del sito”. 

“Al contrario”, conclude il ceo di Trust Italia, “i certificati DV (Domain Validated) si limitano a confermare solo che si sta visitando una pagina che riferisce al dominio riportato nel certificato stesso.”

sicurezza_siti_web_certificati_SSL

Il certificato più sicuro? Extended Validation: certifica l’identità e la legittimità dell’azienda proprietaria del sito. L’utente è sul sito reale, i dati sono al sicuro e sa a chi li sta fornendo

Qual è la scelta più sicura ed affidabile per le pagine di online banking, di eCommerce, una pagina di login o di pagamenti digitali di una società pubblica o privata?
Il più alto livello di convalida e con rigorosi standard è l’Extended Validation (EV), perché certifica l’identità e la legittimità dell’azienda proprietaria del sito. L’utente è sul sito reale, i dati sono al sicuro e sa a chi li sta fornendo. Questo legame tra il certificato e il nome di dominio offre agli utenti la garanzia di interagire con il sito web di un’organizzazione autorizzata e legalmente riconosciuta.

Infatti l’Extended Validation:

  • Garantisce la cifratura delle comunicazioni https.
  • Verifica attraverso un controllo stringente l’identità aziendale.
  • Rende visibile nei dettagli del lucchetto il nome dell’azienda, indirizzo fisico e numero di telefono. Tutte informazioni assenti nei certificati TLS/SSL usati per i siti fraudolenti.
  • Viene emesso in massimo 3 giorni.

I certificati digitali sono firmati, di norma, da una terza parte affidabile e indipendente che ne garantisce la validità: si chiama Autorità di Certificazione o Certification Authority (CA). DigiCert è la più riconosciuta CA del mondo.

Dean Coclin (DigiCert): “I consumatori devono essere certi di essere sul sito web giusto”

“L’identità sul web continua ad essere importante affinché i consumatori siano certi di essere sul sito web corretto. I certificati SSL EV giocano un ruolo importante dando agli utenti una elevata confidenza sulla autenticità del sito che stanno visitando. I browser hanno spostato la visualizzazione dell’EV dietro il lucchetto quindi è importante che gli utenti guardino oltre il lucchetto e ci clicchino su per vedere chi è il proprietario del sito web”, osserva Dean Coclin, Sr Director Business Development di DigiCert Inc.

Dietro il lucchetto c’è di più

Dunque, un sito in https garantisce sì la cifratura delle comunicazioni, ma l’utente non ha la certezza di chi ci sia “dietro”, se la società o l’ente a cui pensa di effettuare un bonifico o criminali informatici. 
L’utente, prima di cedere dati o effettuare un acquisto online, deve valutare questi tre elementi se indicati nel certificato SSL:

  • Crittografia.
  • Identità digitale dell’azienda.
  • Visibilità del brand.

Quindi, da oggi occhio alla url e a cosa c’è dietro il lucchetto.

Leggi le altre notizie sull’home page di Key4biz